Ransomwares CryptoWall, CryptoLocker & Chimera… Que nous réserve 2016 ?
Tout d’abord la bonne nouvelle ! En novembre 2015, Kaspersky a annoncé que les variantes de ransomwares Coinvault et Bitcryptor étaient éliminées. Les auteurs présumés ont été arrêtés et les 14 000 clés de déchiffrement ont été relâchées. Mais comme nous l’avons mentionné dans notre blog « Prédictions de la cybersécurité pour 2016 », les ransomwares constituent encore une menace croissante, car elle est une source de revenus importante pour les cybercriminels. Le malware utilise un chiffrement puissant pour empêcher les utilisateurs de récupérer les fichiers infectés, à moins qu’ils ne paient une rançon.
Attention : même si vous payez, les attaquants peuvent ou non fournir une clé valide pour déverrouiller vos fichiers !
Il existe de nombreux types de ransomwares, parmi lesquels on compte CryptoWall, CryptoLocker, TorrentLocker, Chimera, TeslaCrypt et CTB-Locker. Il y a également un nouveau venu appelé Ransom32, considéré comme le premier ransomware JavaScript.
Les pirates vous menacent-ils de mettre vos données en ligne ?
La dernière tendance en matière d’attaque cybercriminelle menace les utilisateurs de publier leurs données et leurs photos en ligne si une rançon n’est pas payée. C’est ce que l’on a vu le plus souvent avec le ransomware Chimera. La plupart des analystes de la sécurité pensent qu’il s’agit simplement d’une tactique d’intimidation. En voici les raisons :
- Pourquoi une victime paierait-elle la rançon si elle pouvait récupérer les données en ligne gratuitement ? Cela sape le but de l’attaque.
- L’exfiltration des fichiers utilisateur facilite grandement la recherche de la source de l’attaque. Un attaquant par ransomware, comme n’importe quel criminel, ne veut pas se faire prendre.
- Les attaquants veulent gagner de l’argent rapidement. Pourtant, en adoptant cette approche, ils devraient parcourir de nombreuses photos pour trouver des clichés personnels commercialisables.
Les attaques par ransomware ne se limitent plus aux appareils Windows
Par le passé, les ransomwares touchaient surtout les appareils Windows. Mais les périphériques Linux sont désormais une cible tentante, car un grand nombre de serveurs utilisent ce système d’exploitation. Non seulement les serveurs peuvent être des victimes, mais ils peuvent également être utilisés pour distribuer les malwares à d’autres appareils.
En novembre 2015, Malwarebytes a signalé une nouvelle variante du ransomware Linux, portant le total à quatre. Le nouveau ransomware exige jusqu’à 999 $ pour toute victime non citoyenne de la Russie et de la Communauté des États indépendants (CEI).
Ransom32 facilite les attaques multiplateformes
Il s’agit du premier ransomware utilisant JavaScript, ce qui facilite le développement simultané de versions pour Windows, Linux et Mac OS X. Il est facile de configurer une campagne avec Ransom32. Utilisez l’interface web et cliquez sur le bouton « Download client.scr ». Le fichier de téléchargement client.scr est une archive auto-extractible WinRAR de 22 Mo (normalement, les fichiers de téléchargement de ransomwares ne dépassent pas 1 Mo). À l’intérieur de l’archive se trouve une application JavaScript NW.js intégrée.
CryptoLocker
Ce malware est apparu pour la première fois en 2013. En mai 2014, des organismes chargés d’application de la loi et des entreprises de sécurité ont saisi un réseau mondial d’ordinateurs personnels détournés qui étaient utilisés pour diffuser Cryptolocker. Pendant que les cybercriminels transmettaient leur base de données de clés à des fins de sauvegarde, les autorités l’ont interceptée. Ainsi, les 500 000 victimes de Cryptolocker peuvent désormais récupérer les fichiers chiffrés par CryptoLocker sans payer de rançon.
CryptoLocker original continue de faire de nouvelles victimes
Un point intéressant : le ransomware CryptoLocker original continue de faire de nouvelles victimes. Début 2015, American Electric Power, le plus grand exploitant de réseau électrique des États-Unis, a été infecté lorsqu’un superviseur a ouvert un e-mail personnel sur un ordinateur portable d’entreprise. En outre, depuis novembre 2015, le service CryptoLocker est également disponible. Ce système a permis de réduire les dépenses nécessaires pour mener une campagne de ransomware en facturant 50 $, plus une commission de 10 %, chaque rançon payée, plus les frais pour la personnalisation de la charge utile. Bien que les développeurs appellent aussi ce logiciel CryptoLocker, ils disent que ce dernier est complètement différent de l’ancien logiciel.
TorrentLocker
D’après plusieurs conversations sur des forums informatiques, de nombreuses petites et moyennes entreprises ont subi des attaques de ransomwares CryptoWall et TorrentLocker à l’automne 2015. TorrentLocker est connu pour la réalisation d’une attaque par spear phishing à partir de soi-disant services de livraison et de services publics. En Australie, les cybercriminels faisaient référence à de fausses amendes pour excès de vitesse envoyées par la police fédérale australienne. TorrentLocker s’adresse aussi bien aux particuliers qu’aux entreprises.
CTB-Locker
Curve-Tor-Bitcoin (CTB) Locker est diffusé par le biais d’une campagne de spam en masse plutôt que par une attaque de spear phishing. Contrairement à la plupart des autres ransomwares, il n’a pas besoin d’une connexion Internet active avant de commencer à chiffrer les fichiers. Sa caractéristique unique est qu’il a recours à la cryptographie sur les courbes elliptiques (ECC), nécessitant une taille de clé nettement inférieure à celle du cryptage RSA. Les attaquants utilisent le ransomware pour recruter des « affiliés » de CTB Locker parmi leurs victimes, ce qui accélère la diffusion du malware.
TeslaCrypt
TeslaCrypt semble être un dérivé du ransomware Cryptolocker original. On a rapporté qu’il aurait eu le plus grand nombre d’infections dans tous les pays du monde, juste après CryptoWall. La plupart des infections se propagent via une campagne de phishing ou de spamming. TeslaCrypt, comme de nombreux types de ransomwares, obscurcit le code pour échapper à la détection.
Restez à l’écoute… Dans la deuxième partie de ce dossier, qui sera publiée mercredi, nous examinerons le nouveau venu Chimera et le grand père des ransomwares, CryptoWall. Ensuite, nous aborderons une autre question importante concernant la protection contre les ransomwares.